Seis meses han pasado desde que en el Laboratorio de seguridad y privacidad de Karisma, K+LAB, les compartimos el primero de un grupo de informes y artículos dedicados a analizar la seguridad y privacidad de CoronApp Colombia, supuesta promesa del Gobierno para la contención de la pandemia. En esta entrada, les traemos los principales hallazgos del Análisis de aplicaciones en iPhone – El caso de CoronApp-Colombia, el último informe del K+LAB sobre este tema.
Aunque algunas de las recomendaciones y de las alertas que le hemos presentado al Gobierno Nacional, al Instituto Nacional de Salud y a la Agencia Nacional Digital, como parte de este ejercicio de investigación, control y veeduría ciudadana, han sido acogidas y tenidas en cuenta para solucionar y parchar las fallas encontradas, queda demasiado por mejorar en la parte de privacidad y continúan escaseando las respuestas a preguntas como: ¿Qué hacen con todos los datos personales que usa la aplicación? ¿Por qué se sigue ensayando con la notificación de exposición o rastreo digital de contactos con un modelo centralizado y mezclado con datos personales, de salud y ubicación con GPS?
Todavía no existe una evaluación sobre la efectividad y contribución de CoronApp para contener la pandemia pero esta última investigación del K+LAB, nos deja ver que la aplicación sigue siendo un “foco de riesgos” para la seguridad y privacidad de los datos personales de las más de 10 millones de personas usuarias que la han descargado.
Así pues, mientras organizaciones de la sociedad civil como Karisma y las personas usuarias de la aplicación; sin contar las que están, o estamos, a punto de instalarla ante la disimulada obligatoriedad del Gobierno para usarla como pasaporte de movilidad para ir al trabajo o viajar en vuelos nacionales e internacionales; seguimos a la espera de soluciones a esos cuestionamientos y con la sensación de que estamos es a merced de las propuestas de valor del mercado, es decir, de Apple y Google, para la protección de la privacidad.
No se nos puede olvidar que iOS y Android son sistemas operativos desarrollados por estas compañías,y que la “seguridad y la privacidad” es argumento comercial de la primera y “los datos el negocio de la segunda”. Tampoco podemos omitir que el Gobierno nacional dice poco y la aplicación sigue andando intacta.
Continuando con la historia, la buena noticia es que según el último ejercicio de veeduría realizado por el K+LAB: Análisis de aplicaciones en iPhone – El caso de CoronApp-Colombia-, los estándares de seguridad, privacidad e información de Apple son más altos que los de Android. Aunque esta compañía utiliza un modelo muy cerrado que dificulta los análisis técnicos profundos, es la opción más amigable con la seguridad y la privacidad de las personas.
Es más difícil hacer los análisis técnicos en el modelo Apple, ciertos accesos y configuraciones del iPhone sólo se pueden hacer desde un MAC, utilizando el programa Apple Configurator y teniendo una cuenta Apple business o School manager. Sin embargo, así logramos hacer un análisis bastante profundo de flujo cifrado, de logs internos e incluso logramos acceder a partes del código interno de instalación de la aplicación.
Los siguientes son los hallazgos más significativos de la investigación:
- Mientras CoronApp en Android necesita 11 permisos al momento de instalarla (hace 6 meses eran 19), Apple pide cuatro. De cierta forma, la aplicación está más controlada en términos de privacidad en el entorno Apple que en el de Android.
- De hecho, en el sistema operativo iOS no solo se pide expresamente la autorización para cada permiso que va a dar a la aplicación, sino que además se pide a la persona usuaria su autorización para otorgar los permisos de acceso a la ubicación “al usar la app”, “sólo una vez” o “no permitir”. En comparación con CoronApp_Colombia en Android hay más granularidad.
- Cuando se solicitan los permisos, hay más detalles en la información entregada desde iOS. Por ejemplo, veamos la solicitud de acceso a la ubicación, comparando una versión de CoronApp del 19 de agosto en Android y la de iOS en agosto:
- Queda claro que además de la mejor granularidad de la autorización, en iOS hay un mayor nivel de información: se precisa la finalidad del acceso a la ubicación (“registrar el lugar en donde se registra el estado actual de salud”) y permite a la persona decidir cuándo la entrega al usar la aplicación, sólo una vez o nunca.
- En el archivo de instalación de la aplicación en el iPhone (“IPA”) se puede observar la inclusión del framework que usa el protocolo de rastreo de contactos cercanos centralizado vía Bluetooth (“Bluetrace”), que también se confirma en el análisis de flujo. Igual que para Android.
Expuesto esto, les queremos invitar a profundizar en la lectura de nuestro actual informe, allí les compartimos la metodología que estamos trabajando para hacer el análisis de las aplicaciones en iOS, lo que nos permitirá a futuro mantener evaluaciones más constantes y útiles para todas las personas, no solo para quienes usan Android.
Cómo en otras ocasiones, el hecho de compartir esta metodología es a la vez un llamado a un “Haz-lo tu también” (Do it Yourself) y a la posibilidad de recibir ideas para mejorar la forma en la cual hacemos nuestras investigaciones, en un enfoque abierto y colaborativo.
Para analizar los registros de los eventos (logs) de un iPhone en tiempo real, además de la herramienta Apple Configurator 2, se puede usar la herramienta Idevicesyslog de la librería de código abierto imobiledevice que funcionan también con Linux. En estas dos páginas podrá encontrar documentación útil: https://libimobiledevice.org/ y https://www.mankier.com/1/idevicesyslog
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: CoronApp en Android o en iOS ¿cuál de las dos hace menos mal la tarea de proteger la privacidad de las personas?
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co